c# - 以编程方式篡改 http 请求

Question

我需要登录一个站点，我可以通过 url.com/ssorequest?parameters=123 等 URL 来登录。如果这是在地址中输入的，我将登录并重定向到门户。

现在我应该以编程方式通过 http post 请求来执行此操作，但我无法让它工作，我被重定向到登录表单而不是门户，即我没有登录。

我使用 Fiddler 找出这两种方法之间的区别。我发现一些幕后的 get-requests 是不同的。浏览器 get-requests 将 cookie 数据发送到服务器，而 fiddlers post-request 则不会。

当我使用 fiddler 重复浏览器第一次调用时，它也不会发送 cookie 数据。所以它只有在我通过浏览器窗口进行操作时才有效。除非我在 fiddler 中使用断点并篡改包含 cookie 数据的请求。

问:为什么它在使用 http post 和从 Fiddler 完成请求时与浏览器的行为不同？

问:有没有什么方法可以在不编写我自己的 Fiddler 应用程序的情况下篡改在我的 C# 应用程序中以编程方式发出的请求？

Answer 1

您很可能遇到过 anti-forgery曲奇饼。它的工作方式是确保您使用首次请求并加载到浏览器中的页面登录，并且 cookie 仅对一个请求有效，因此如果您运行相同的请求， fiddler 将无法登录再次。

使用 C#，您首先必须请求登录页面并在 cookie 容器中获取此页面提供的 cookie。下次，当您将页面与数据一起发布时，您必须确保 cookie 附加在请求中。

编辑:

第 1 步:浏览网站上的任何页面。这将启动 session 。它还将为您提供 session cookie。

第 2 步:请求登录页面。将第一步中获得的 cookie 与登录页面一起发送，以便它可以识别 session 。这一步很关键。在此阶段，根据站点使用的安全系统，可能有两种情况。它要么将安全 cookie 与 session cookie 一起发送，要么将在表单中添加一个隐藏变量以及一个用作安全 token 的值。确保您获得此 token /cookie。

第 2 步:在登录页面(或表单操作导致的任何页面)上发布登录信息以及在第 1 步中获得的 cookie/ token 。如果它是 token ，请将其与登录一起包含在您的发布数据中信息或 cookie，将其添加到请求中。